<!DOCTYPE html>
<html>
	<head>
		<meta charset="utf-8">
		<title>前端安全问题</title>
	</head>
	<body>
		1、XSS攻击：
		-- 注入恶意script代码，执行恶意脚本(无论是跨域还是同域)，从而拿到用户的信息并进行操作
		-- 防范措施：
			a、无论是在前端和服务端，都要对用户的输入进行转码或者过滤。
			b、设置 Cookie 的 HttpOnly 属性
		2、CSRF攻击：
		-- 即跨站请求伪造，指的是黑客诱导用户点击链接，打开黑客的网站，然后黑客利用用户目前的登录状态发起跨站请求
		-- 防范措施：
			a、利用Cookie的SameSite属性，SameSite可以设置为三个值，Strict、Lax和None(默认)
			b、验证来源站点，请求头中的两个字段: Origin和Referer
			c、CSRF Token，相当于临时令牌
	</body>
</html>
